Новый троянец Steaelite объединяет кражу данных и программы-вымогатели в единой веб-панели, упрощая двойное вымогательство

На подпольных рынках киберпреступности появился в продаже новый троянец удалённого доступа под названием Steaelite. Этот инструмент предоставляет операторам браузерный контроль над заражёнными компьютерами под управлением Windows, объединяя в единой панели управления возможности выполнения удалённого кода, кражи учётных данных, наблюдения в реальном времени, извлечения файлов и развёртывания программ-вымогателей. Главная особенность Steaelite заключается в слиянии двух традиционно раздельных звеньев киберпреступной цепочки - кражи данных и шифровальщиков - в одном продукте, при этом модуль программ-вымогателей для Android уже находится в разработке. Это существенно снижает порог входа для злоумышленников, желающих проводить комплексные атаки с целью двойного вымогательства, и представляет новую серьёзную угрозу для организаций.

Описание

Steaelite впервые появился на подпольных форумах в ноябре 2025 года, рекламируясь как «лучший RAT для Windows» с возможностями, остающимися «полностью необнаруживаемыми» (Fully Undetectable, FUD). Продавец заявляет о совместимости с Windows 10 и 11, стабильном скрытом мониторинге (HVNC) и обходе защиты банковских приложений. Активность вокруг инструмента высока: темы с его обсуждением регулярно поднимаются на форумах, а на YouTube уже опубликован проморолик, демонстрирующий его возможности, - распространённая тактика для привлечения покупателей за пределами узких форумных экосистем.

Панель управления Steaelite работает полностью в браузере. Дашборд в реальном времени отображает подключённых жертв с информацией об имени компьютера, идентификаторе оборудования, загрузке процессора и оперативной памяти, а также версии операционной системы. При первом входе оператор видит всплывающее окно, рекламирующее модуль «Android ransomware», помеченный как «в разработке», что сигнализирует о планах разработчиков выйти на рынок мобильного вымогательства.

Функционал панели обширен и структурирован. Основная панель инструментов включает модули для удалённого выполнения команд, управления файлами, прямой трансляции экрана, доступа к веб-камере и микрофону, управления процессами, мониторинга буфера обмена, восстановления паролей, перечисления установленных программ, отслеживания местоположения, выполнения произвольных файлов, открытия URL, проведения DDoS-атак и компиляции полезной нагрузки на VB.NET.

Ниже расположены две дополнительные секции. Панель «расширенных инструментов» предоставляет функции для развёртывания программ-вымогателей, организации скрытого удалённого рабочего стола (RDP), отключения Защитника Windows, управления исключениями и установки механизмов закрепления в системе (persistence). Панель «инструментов разработчика» добавляет возможность кейлоггинга, чата между оператором и жертвой, поиска файлов, распространения через USB-накопители, «убийства» конкурирующего вредоносного ПО (bot killing), отображения всплывающих сообщений на экране жертвы, изменения обоев, обхода контроля учётных записей (UAC) и работы клиппера.

Клиппер - особенно коварный инструмент. Он незаметно отслеживает буфер обмена жертвы на предмет наличия криптовалютных адресов и подменяет их на адрес, контролируемый злоумышленником, прежде чем жертва завершит операцию вставки. Это позволяет перенаправлять средства без ведома пользователя.

Модуль удалённого выполнения кода предоставляет интерфейс командной строки прямо в браузере, позволяя операторам вводить команды и получать вывод. В сочетании с модулем обхода UAC это обеспечивает выполнение произвольных команд с административными привилегиями. Файловый менеджер даёт возможность полного просмотра директорий и загрузки любого файла в один клик, упрощая извлечение данных без написания скриптов. Функция трансляции экрана в реальном времени, дополненная доступом к камере и микрофону, превращает Steaelite в платформу для постоянного наблюдения.

Особого внимания заслуживает автоматизация. При подключении новой жертвы Steaelite автоматически собирает пароли, сохранённые в браузерах, сессионные куки и токены приложений до того, как оператор отдаст первую команду. Кража данных начинается в момент заражения, даже если оператор никогда не откроет панель управления.

Последствия для команд информационной безопасности

Появление инструментов вроде Steaelite меняет ландшафт угроз. Теперь один злоумышленник может из одной панели управления просматривать файлы, извлекать документы, собирать учётные данные и разворачивать программы-вымогатели. Это делает проведение атак с двойным вымогательством - когда злоумышленники сначала похищают данные, а затем шифруют их, угрожая публикацией, - технически более простым и доступным. Раньше такая схема часто требовала координации между различными специализированными группами или использования нескольких инструментов. Steaelite объединяет всё необходимое в одном интерфейсе, причём кража данных происходит автоматически и мгновенно.

Планируемый модуль для Android расширяет потенциальный ущерб. Если он будет реализован, одна лицензия Steaelite может позволить атаковать как корпоративные рабочие станции Windows, так и мобильные устройства сотрудников, используемые для аутентификации и коммуникации, что значительно увеличивает масштаб компрометации.

Для организаций это означает, что граница между угрозой утечки данных и угрозой программ-вымогателей на уровне инструментария исчезает. Остановка атаки на этапе шифрования данных уже не является эффективной мерой, если конфиденциальная информация была автоматически похищена тем же самым инструментом на самом раннем этапе заражения. Это смещает фокус защиты на самые начальные стадии кибератаки.